Правительство Российской Федерации
Федеральное государственное автономное образовательное учреждение
высшего профессионального образования
«Национальный исследовательский университет
«Высшая школа экономики»
Факультет информационных технологий и вычислительной техники
Вычислительные комплексы системы и сети (230101)
Кафедра информационно-коммуникационных технологий
ДИПЛОМНЫЙ ПРОЕКТ
Разработка сетевой инфраструктуры головного офиса компании Мэйл. Ру
Выполнил
Студент группы № С-104
Научный руководитель
Старший преподаватель
Москва, 2013
Аннотация
Данная дипломная работа заключается в разработке масштабируемого и отказоустойчивого решения для организации проводной и беспроводной локальной вычислительной сети головного офиса компании . Ру», а так же решения для обеспечения сетевой безопасности.
Содержание
Содержание.................................................................................................................................. 6
Введение...................................................................................................................................... 10
1 Обзорно-аналитическая чать...................................................................................... 11
1.1 Цели и задачи.............................................................................................................................................................................. 11
1.2 Выявление требований к проектируемой системе........................................................................................................... 12
1.2.1 Введение.............................................................................................................................................................................. 12
1.2.2 Деятельность компании................................................................................................................................................... 12
1.2.3. Общее описание............................................................................................................................................................... 13
1.2.4 Описание существующей инфраструктуры.............................................................................................................. 14
1.2.6 Требования к разрабатываемой системе................................................................................................................... 15
1.2.7 Требования к ядру системы........................................................................................................................................... 16
1.2.8 Требования к граничному блоку системы................................................................................................................. 16
1.2.9 Требования к БЛВС.......................................................................................................................................................... 17
1.2.10 Требования к блоку уровню доступа ЛВС............................................................................................................. 18
1.2.11 Требования к системе офисного ЦОД....................................................................................................................... 19
1.2.12 Требования к cистеме мониторинга.......................................................................................................................... 20
1.2.13 Требования к оборудованию......................................................................................................................................... 20
1.2.14 Требования к производительности............................................................................................................................. 21
1.2.15 Требования к надежности............................................................................................................................................. 21
1.2.16 Выводы.............................................................................................................................................................................. 22
1.3 Обзор существующих решений построения корпоративных сетей..................................................................... 23
1.3.1 Введение.............................................................................................................................................................................. 23
1.3.2 Технологии, используемые при построении защищенных корпоративных сетей......................................... 23
1.3.3 Обзор решений организации связи между структурными подразделениями.................................................. 26
1.3.4 Обзор существующих решений построения корпоративной ЛВС..................................................................... 28
1.3.5 Обеспечение сетевой безопасности ЛВС................................................................................................................... 30
1.3.6 Обзор существующих решений построения корпоративной БЛВС................................................................... 32
1.3.7 Обеспечение сетевой безопасности БЛВС................................................................................................................ 34
1.3.8 Обзор решений для мониторинга состояния сети................................................................................................... 37
1.3.9 Выводы................................................................................................................................................................................ 42
1.4 Выбор структурообразующего оборудования.................................................................................................................... 43
1.4.1 Введение.............................................................................................................................................................................. 43
1.4.2 Оборудования ядра системы передачи данных........................................................................................................ 43
1.4.3 Оборудование граничного блока системы передачи данных.............................................................................. 44
1.4.4 Оборудование системы БЛВС....................................................................................................................................... 44
1.4.4 Оборудование уровня доступа...................................................................................................................................... 45
1.4.5 Оборудование офисного ЦОД........................................................................................................................................ 45
1.4.5 Выводы................................................................................................................................................................................ 46
1.5 Итоги............................................................................................................................................................................................. 46
2. Специальная часть........................................................................................................... 47
2.1 Введенеие.................................................................................................................................................................................... 47
2.2 Описание объекта.................................................................................................................................................................... 47
2.3 Логическая схема ЛВС.......................................................................................................................................................... 49
2.3.1 Схема связи между структурными блоками сетевой инфраструктуры............................................................... 52
2.3.2 Подключение внешних каналов, граничный блок сети......................................................................................... 53
2.3.3 Уровень доступа ЛВС...................................................................................................................................................... 55
2.3.4 Офисный ЦОД..................................................................................................................................................................... 58
2.3.5 Мультикаст......................................................................................................................................................................... 60
2.4 Беспроводная локальная вычислительная сеть.......................................................................................................... 63
2.4.1 Технические решения...................................................................................................................................................... 63
2.4.2 БЛВС 1 этаж....................................................................................................................................................................... 65
2.4.3 БЛВС 2 этаж....................................................................................................................................................................... 65
2.4.4 БЛВС 3 этаж....................................................................................................................................................................... 66
2.4.5 БЛВС 4 и 5 этаж................................................................................................................................................................. 67
2.4.6 Типовой этаж (с 6 по 26)................................................................................................................................................... 67
2.5 Физическая схема....................................................................................................................................................................... 70
2.5.1 Технические решения...................................................................................................................................................... 70
2.5.2 Состав проектируемой среды....................................................................................................................................... 70
2.5.3 Подсистема рабочего места........................................................................................................................................... 71
2.5.4 Горизонтальная подсистема........................................................................................................................................... 71
2.5.5 Магистральная подсистема........................................................................................................................................... 71
2.6 Сетевая безопасность и авторизация пользователей................................................................................................. 74
2.7 IP-адресация................................................................................................................................................................................ 77
2.8 Выводы......................................................................................................................................................................................... 78
3.1 Проверка работоспособности выбранных решений на стенде.............................................................................. 79
3.1.1 Введение.............................................................................................................................................................................. 79
3.1.2 Тестирование проводного 802.1x.................................................................................................................................. 80
3.1.3 Настройка RADIUS-сервера.......................................................................................................................................... 81
3.1.4 Настройка коммутатора................................................................................................................................................. 81
3.1.5 Проверка работоспособности........................................................................................................................................ 82
3.1.6 Итоги..................................................................................................................................................................................... 83
6.2 Оценка соответствия техническому заданию...................................................................................................................... 84
6.3Внедрение системы................................................................................................................................................................... 84
4.1. Исследование возможных опасных и вредных факторов при эксплуатации ЭВМ и их влияния на пользователей 85
4.1.1. Введение............................................................................................................................................................................. 85
4.1.2. Влияние электрического тока....................................................................................................................................... 87
4.1.3. Влияние статического электричества.......................................................................................................................... 88
4.1.4. Влияние электромагнитных излучений НЧ................................................................................................................ 89
4.1.5. Выводы................................................................................................................................................................................ 89
4.2. Методы и средства защиты пользователей от воздействия на них опасных и вредных факторов.................... 89
4.2.1. Методы и средства защиты от поражения электрическим током...................................................................... 89
4.2.2. Методы и средства защиты от ультрафиолетового излучения............................................................................ 90
4.2.3. Методы и средства защиты от электромагнитных полей низкой частоты....................................................... 90
4.2.4. Методы и средства защиты от статического электричества................................................................................. 90
4.3. Выводы......................................................................................................................................................................................... 91
Заключение............................................................................................................................... 92
Итоги.................................................................................................................................................................................................... 92
Выводы................................................................................................................................................................................................ 93
Список литературы................................................................................................................ 94
Список литературы
Введение
Актуальность. Сегодня, качество и себестоимость производимых предприятием услуг и продуктов зависит от используемых предприятием технологий. В части отраслей информация является основополагающим фактором производства, а так же и основным продуктом. В связи с этим постоянно встают вопросы своевременного получения информации и защиты ее от конкурентов и недоброжелателей. Решение этих вопросов в значительной мере ложится на компьютерные сети и инфраструктуру.
Целью данной работы является обеспечение эффективной работы компании после переезда в новое офисное здание, путем создания масштабируемой и защищенной сетевой инфраструктуры.
Задачи, которые были решены в этой работе:
· Формирование требований к создаваемой системе
· Анализ существующих решений и подходов к организации корпоративной сетевой инфраструктуры и обеспечению безопасности сети предприятия
· Разработка физический и логической схем локальной вычислительной сети
· Разработка схемы беспроводной локальной вычислительной сети
· Разработка подхода к обеспечению сетевой безопасности и авторизации пользователей
· Внедрение системы в эксплуатацию
Практическая значимость данной работы подтверждена успешной реализацией и внедрением в работу компании
Апробация работы. Спроектированная в данной работе сетевая инфраструктура прошла апробацию в . Ру» («Акт о внедрении результатов дипломной работы»).
1 Обзорно-аналитическая чать
1.1 Цели и задачи
Основной целью данной работы является обеспечение работы компании после переезда в новое офисное здание, путем создания сетевой инфраструктуры, имеющей следующие характеристики:
· Безопасность
· Устойчивость и высокая степень доступности
· Масштабируемость
· Высокий уровень функциональности
· Удобство и простота в обслуживании
Для достижения данной цели требуется решить следующие задачи:
· Выявить требования к структурным блокам разрабатываемой инфраструктуры
· Рассмотреть и проанализировать существующие подходы к построению безопасных корпоративных сетей, и выявить наиболее применимые для построения сети компании.
· Рассмотреть возможные варианты и выбрать подходящее для реализации проекта сетевое оборудование
· Разработать логическую схему проектируемой сети – проводной и беспроводной - с учетом выбранных технологий и физических особенностей нового офисного здания
· Разработать физическую схему для проектируемой корпоративной сети
· Разработать решение для обеспечения безопасности сети и авторизации пользователей
· Принять решение об используемой в проектируемой инфраструктуре схеме адресации
· Собрать тестовый стенд и протестировать выбранные решения построения сети
· Реализовать разработанную сетевую инфраструктуру в соответствии с выбранными ранее решениями для построения сети
1.2 Выявление требований к проектируемой системе
1.2.1 Введение
В данном разделе будет произведен обзор деятельности компании в аспекте требований с сетевой инфраструктуре, рассмотрены основные условия которым должна удовлетворять информационная система. Кратко рассмотрена существующая корпоративная сетевая инфраструктура. Будут определены требования к каждому из структурных блоков сетевой инфраструктуры.
1.2.2 Деятельность компании
Основные направления деятельности ***** Group – электронная почта, социальные сети, сервисы мгновенных сообщений, e-commerce, онлайн-развлечения, поиск. Посетителями проектов компании являются около 85% аудитории интернет-пользователей в России.
Компания неразрывно связана с сетью Интернет, с разработкой сетевых приложений и поддержкой существующих онлайн-сервисов. Разработка онлайн-сервисов невозможно в отсутствии стабильного, и высокоскоростного доступа в интернет. Так же, большинству подразделений требуется доступ к корпоративной инфраструктуре, расположенной в ЦОДах компании.
Офисы компании, как в России так и за ее пределами, требуют стабильной связанности как с инфраструктурой головного офиса, так и с расположенными в Москве ЦОДами.
Видом деятельности компании так же диктуются особые требования к сетевой безопасности, контроле доступа к корпоративным ресурсам как изнутри корпоративной сети, так и снаружи. И если вопросов с контролем доступа к внутренним ресурсам из сети Интернет не возникает – в большинстве случаев они однозначно закрыты, то разделение и определение прав доступа к внутренним ресурсам корпоративным пользователям не столь очевидно. Нередко, при исследовании инцидентов, возникает необходимость идентификации трафика, его однозначной ассоциации с одним из пользователей.
В компании активно пользуется средствами телефонии, конференц-звонками – каждому сотруднику требуется свой внутренний номер, с выделенной линией.
Значительна нагрузка на беспроводную локальную вычислительную сеть (БЛВС), все больше электронных устройств поддерживают стандарт 802.11, все больше пользователей предпочитают быть отвязанными от проводов и используют беспроводной доступ к сети интернет и корпоративным ресурсам.
Для некоторых сервисов – IPTV, синхронизация контроллеров системы освещения, требуется передача multicast-трафика.
1.2.3. Общее описание
В настоящий момент инфраструктура располагается по следующим адресам:
1. Московский офис (Л47). Адрес: г. Москва, Ленинградский п-т, стр. 2
2. Головной офис (ГО). Адрес: г. Москва, Ленинградский п-т, д.39А
3. Датацентр «М100». Адрес: г. Москва, Варшавское шоссе 125, стр. 18а
4. Филиалы. В настоящее время более 15 филиалов в различных регионах РФ и за пределами.
При этом, московский офис компании (1) в ближайшее время закрывается в связи с переводом всех сотрудников и инфраструктуры в новое здание головного офиса (2), сеть которого и разрабатывается в рамках данного проекта.
1.2.4 Описание существующей инфраструктуры
Существующая корпоративная сеть компании построена на базе каналов, арендуемых у операторов связи. Региональные филиалы имеют защищенные каналы связи с датацентром «М100» и московским офисом (Л47). Обеспечено резервирование внешних каналов. Внутренняя сеть московского офиса частично сегментирована, построена по топологии звезда. В силу слабого планирования и быстрого увеличения количества пользователей сеть развивалась не оптимально, и не справляется с нагрузками. Имеются несколько широковещательных доменов охватывающих десятки устройств – что способствует увеличению количества широквещательного трафика в сети.
БЛВС московского офиса построена на базе оборудования Cisco, с использованием «легковесных точек доступа» и контроллеров беспроводной сети.
На границе офисной сети межсетевой экран. Развернута Active Directory, все пользователи компании имеют учетную запись, использующуюся для доступа к корпоративным ресурсам. Обеспечение политик безопасности в существующей сети обеспечивается за счет правки списков доступа на коммутаторах уровня доступа, а так же за счет правил прохождения трафика на сетевом экране. Такой подход не всегда обеспечивает соблюдение и актуально правил прохождения трафика пользователей.
Развернуто несколько систем мониторинга. Существующая система управления оборудованием сети является разрозненной, отсутствует единый центр агрегации и корреляции событий, происходящих в сети. Это усложняет процесс эксплуатации сетевого оборудования и увеличивает время, затрачиваемое на разрешение проблем, что создает репутационые и финансовые риски для компании.
Одной из целей данной работы является устранение данных недостатков при построении инфраструктуры нового головного офиса компании.
1.2.5 Назначение системы
1. Обеспечение защищенной передачи данных по протоколу IP между:
1.1. Головным офисом и датацентром
1.2. Головным офисом и московским офисом (Л47) на время переезда инфраструктуры и сотрудников.
1.3. Головным офисом и филиалами
2. Обеспечение безопасного доступа в сеть Интернет для сотрудников;
3. Обеспечение доступа из сети Интернет к выделенным внутренним ресурсам
4. Обеспечение управления устанавливаемым сетевым оборудованием
5. Обеспечение возможности идентификации проходящего через систему трафика, привязки его к конкретному пользователю
6. Обеспечение сбора и обработки событий Информационной безопасности
7. Обеспечение безопасного и управляемого доступа к интрефейсам управления активного сетевого оборудования.
1.2.6 Требования к разрабатываемой системе
Разумно разделить разрабатываемую систему на следующие структурные блоки, и сформировать требования для каждого из блоков системы:
1. Ядро системы передачи данных ГО
2. Граничный блок системы передачи данных ГО
3. Система беспроводной локальной вычислительной сети (БЛВС)
4. Система мониторинга
5. Уровень доступа ЛВС
6. Офисный ЦОД
1.2.7 Требования к ядру системы
Основная задача данного структурного блока – обеспечение связи компонентов сети между собой, маршрутизация и коммутация трафика между ними. Ядро системы должно обеспечивать максимальную производительность и надежность.
Ядро системы должно обеспечивать:
1. Подключение граничного блока
2. Подключение уровня доступа,
3. Подключение офисного ЦОД
4. Подключение системы БЛВС
5. Логическую изоляцию потоков данных при передаче между структурными блоками на уровнях 2 и 3 МВОС
6. Защищенное управление устройствами ядра системы
7. Защиту от атак, направленных на устройство ядра
8. Передачу данных на уровне 2 МВОС
9. Передачу данных на уровне 3 МВОС
10. Передачу пакетов по протоколу Internet Protocol
11. Передачу данных по протоколу Ethernet 100/1000/10000 с возможностью подключения медных и оптических сред передачи
12. Поддержку стандарта IEEE 802.1Q
13. Поддержку высокоскоростной коммутации кадров Ethernet
14. Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
15. Маршрутизация multicast-трафика
1.2.8 Требования к граничному блоку системы
Задача граничного блока – обеспечение безопасного подключения внешних каналов, поддержка связи с удаленными офисами, а так же трансляция сетевых адресов и инспекция сессий внутренних пользователей при их выходе в интернет.
Граничный блок системы передачи данных ГО должен обеспечивать
1) Подключение к ядру передачи данных ГО
2) Подключение служебных подсистем и систем ГО, граничащих с внешними сетями
3) Передачу данных на уровне 3 МВОС
4) Передачу данных на уровне 2 МВОС
5) Передачу данных по протоколу Ethernet 100/1000/10000 c возможностью подключения медной и оптической сред передачи
6) Поддержку стандарта IEEE 802.1Q
7) Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
8) Защищенное управление устройствами граничного блока
9) Преобразование сетевых адресов (NAT)
10) Поддержка шифрования трафика, технологии IPSec
1.2.9 Требования к БЛВС
Задача системы БЛВС – обеспечить безопасный и высокоскоростной доступ пользователей в внутренним ресурсам и сети Интернет, а так же дать возможность идентификации трафика беспроводных пользователей, и реакцию на возникающие помехи в частотном диапазоне 2.4 и 5Ггц. Так же должен быть обеспечен «бесшевный» роуминг между точками доступа для беспроводной VoIP телефонии, используемой в компании. К тому же, требуется обеспечить подключение сервисным устройствам – таким как контроллеры освещения и часть камер видеонаблюдения.
Система БЛВС должна обеспечивать:
1) Двухдиапазонное покрытие (5 и 2.4ГГц) во всех офисных помещениях.
2) Передачу трафика реального времени (Голосовые и видеозвонки)
3) Защищенное управление устройствами БЛВС
4) Поддержку стандарта IEEE 802.1Q
5) Поддержку различных способов авторизации, включая IEEE 802.1X
6) Динамический выбор частотного диапазона
7) Балансировку беспроводных клиентов между точками доступа
8) Мониторинг эфира, и реакцию на интерференцию
9) Маршрутизацию multicast-трафика в беспроводной сети
10) Определение местоположения беспроводных клиентов и источников помех
11) Подключение к ядру передачи данных ГО
12) Передачу данных на уровне 3 МВОС
13) Передачу данных на уровне 2 МВОС
14) Прозрачный для клиентских устройств роуминг между точками доступа
1.2.10 Требования к блоку уровню доступа ЛВС
Уровень доступа должен обеспечивать высокоскоростное подключение конечных пользователей к проводной сети, электропитание сетевых устройств (таких как телефоны и точки доступа), применение локальных политик безопасности, фильтрацию трафика между пользователями.
Уровень доступа ЛВС должен обеспечивать:
1) Подключение к ядру
2) Защищенное управление устройствами уровня доступа
3) Защиту от атак, направленных на устройства уровня доступа
4) Передачу данных на уровне 2 МВОС
5) Передачу данных на уровне 3 МВОС
6) Передачу пакетов по протоколу Internet Protocol
7) Передачу данных по протоколу Ethernet 100/1000/10000 с возможностью подключения медных и оптических сред передачи
8) Поддержку стандарта IEEE 802.1Q
9) Поддержку проводной авторизации IEEE 802.1X
10) Изоляцию пользовательского трафика
11) Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
12) Маршрутизация multicast-трафика
13) Питание подключенных устройств по PoE, стандарт IEEE 802.3af
14) Применение локальных политик безопасности к трафику пользователя
1.2.11 Требования к системе офисного ЦОД
Сетевая инфраструктура офисного ЦОД обеспечивает высокоскоростное и зарезервированное подключение серверных ферм к ядру сети.
Подсистема ЦОД должна обеспечивать:
1) Подключение к ядру
2) Защищенное управление устройствами подсистемы ЦОД
3) Защиту от атак, направленных на устройства подсистемы ЦОД
4) Передачу данных на уровне 2 МВОС
5) Передачу данных на уровне 3 МВОС
6) Передачу пакетов по протоколу Internet Protocol
7) Передачу данных по протоколу Ethernet 100/1000/10000 с возможностью подключения медных и оптических сред передачи
8) Поддержку стандарта IEEE 802.1Q
1.2.12 Требования к cистеме мониторинга
Подсистема мониторинга должна обеспечивать действия, связанные с конфигурацией и мониторингом оборудования, и взаимодействовать со следующим набором сервисов и протоколов:
1. Simple Network Management Protocol version 3 (SNMPv3);
2. Simple Network Management Protocol version 2 (SNMPv2);
3. Syslog;
4. NetFlow;
5. NTP.
Так же, при необходимости, должна быть обеспечена возможность экспорта данных в общекорпоративную систему мониторинга (по средством экспорта в БД MySQL, либо SNMP).
Исходя из вышеописанного, можно так же выделить общие требования к оборудованию, производительности и надежности разрабатываемой системы.
1.2.13 Требования к оборудованию
В компании накоплен немалый опыт эксплуатации сетевой инфраструктуры и центров обработки данных (ЦОДов), имеется значительный парк оборудования снятого с эксплуатации как неудовлетворяющий тем или иным современным требованиям. В целях разумного расходования средств стоит использовать такое оборудование при реализации проекта, там, где это возможно. Так же накопленный опыт позволяет делать выбор оборудования для сети головного офиса опираясь не только на характеристики, но так же на эксплуатационный опыт.
К оборудованию построения системы передачи данных ГО предъявляются следующие требования:
1) Оборудование должно использовать высокоскоростную коммутацию пакетов данных на уровнях 2 / 3 МВОС;
2) Оборудование должно иметь модульную структуру;
3) По возможности, система должна строится используя имеющееся оборудование, либо используя оборудование производителей, хорошо себя зарекомендовавших за время эксплуатации – Cisco Systems, Juniper Networks.
1.2.14 Требования к производительности
К производительности оборудования и системы в целом предъявляются следующие требования:
1) Оборудование должно обладать неблокируемой архитектурой маршрутизации или коммутации пакетов / кадров данных;
2) оборудование должно обеспечивать коммутацию пакетов / кадров на полной скорости интерфейсов;
3) оборудование должно обеспечивать возможность объединения нескольких физических интерфейсов в один логический интерфейс для повышения скорости передачи данных и отказоустойчивости.
1.2.15 Требования к надежности
Так как работа компании неотрывно связана со стабильностью сетевой инфраструктуры и телефонии, к надежности оборудования и системы передачи данных ГО в целом предъявляются следующие требования:
1) Архитектура построения системы должна соответствовать принципу исключения единой точки отказа;
2) Отказ какого-либо одного канала данных или внутреннего подключения не должен приводить к изоляции частей систем друг от друга;
3) Оборудование должно обеспечивать возможность установки резервных модулей коммутации и / или модулей управления устройством.
1.2.16 Выводы
Приведено описание деятельности компании, исходя из него выделены основные требования к необходимой сетевой инфраструктуре. Рассмотрена существующая ситуация, обнаружены недостатки, требующие исправления. Приведены требования к каждому структурному блоку проектируемой инфраструктуры, а так же к корпоративной сети в целом в аспекте надежности, производительности, используемого оборудования.
1.3 Обзор существующих решений построения корпоративных сетей
1.3.1 Введение
Прежде чем приступать к проектированию структуры будущей сети передачи данных, требуется выбрать технологии, которые будут использоваться. Определившись с ключевыми для проекта характеристиками, по которым будет происходить выбор стандарта, можно выбрать подходящую технологию для физического, канального и сетевого уровня модели взаимодействия открытых систем (МВОС, ISO OSI). Не смотря на некоторую условность данной модели в современном мире и неоднозначность трансляции данной модели на наиболее распространенный стек протоколов – TCP/IP, данный подход позволит определится с набором стандартов для реализации проекта, и, в дальнейшем, с используемым оборудованием.
1.3.2 Технологии, используемые при построении защищенных корпоративных сетей
Выбирая технологию, которая будет использоваться при реализации проекта, необходимо сразу обращать внимания на несколько моментов. Во-первых – технология должна удовлетворять требованиям проекта – обеспечивать необходимую пропускную способность, масштабируемость, защищённость передаваемой информации и т. д. Во-вторых, технология должна быть стандартизирована, и широко распространена – это позволит избежать проблем в ходе внедрения и эксплуатации (например, прекращения поддержки выбранной технологии производителями оборудования). Еще один довод в пользу решений на основе стандартных протоколов – независимость от производителя оборудования, и гарантия возможности дальнейшей модернизации сети с использованием актуальных решений.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
